对于Spring Boot，我发现这个RegexCorsConfiguration扩展了官方的CorsConfiguration: https://github.com/looorent/spring-security-jwt/blob/master/src/main/java/be/looorent/security/jwt/RegexCorsConfiguration.java

对我来说，我想要一个多域选项，这就是我使用的解决方案，使用python和flask，

    VALID_DOMAINS = 'https://subdomain1.example.com', 'https://subdomain2.example.com'


    def handle_request(request):
        origin = request.headers.get('Origin')
    
        if request.method == 'OPTIONS':
            if origin not in :
                return ''
    
            headers = {
                'Access-Control-Allow-Origin': origin,
                'Access-Control-Allow-Methods': 'GET',
                'Access-Control-Allow-Headers': 'Content-Type',
                'Access-Control-Max-Age': '3600',
            }
            return '', 204, headers
    
        return (
            main_function_with_logic(request),
            200,
            {'Access-Control-Allow-Origin': origin,
             ...}
        )

显然，您可以将VALID_DOMAINS扩展到任意您想要的长度，以及任何您想要的(非https、不同端口等)，并在请求上进行检查。

与通配符解决方案相比，我更喜欢这种解决方案，因此这是我在运行的服务器上的选择。

在我的例子中使用的是angular

在我的HTTP拦截器，我设置

with Credentials: true.

在请求头中

使用@Noyo的解决方案，而不是这个。它更简单、更清晰，而且可能在负载下性能更高。

原来的答案只用于历史目的!!

我在这个问题上做了一些尝试，并提出了这个可重用的.htaccess(或httpd.conf)解决方案，适用于Apache:

<IfModule mod_rewrite.c>
<IfModule mod_headers.c>
    # Define the root domain that is allowed
    SetEnvIf Origin .+ ACCESS_CONTROL_ROOT=yourdomain.example

    # Check that the Origin: matches the defined root domain and capture it in
    # an environment var if it does
    RewriteEngine On
    RewriteCond %{ENV:ACCESS_CONTROL_ROOT} !=""
    RewriteCond %{ENV:ACCESS_CONTROL_ORIGIN} =""
    RewriteCond %{ENV:ACCESS_CONTROL_ROOT}&%{HTTP:Origin} ^([^&]+)&(https?://(?:.+?\.)?\1(?::\d{1,5})?)$
    RewriteRule .* - [E=ACCESS_CONTROL_ORIGIN:%2]

    # Set the response header to the captured value if there was a match
    Header set Access-Control-Allow-Origin %{ACCESS_CONTROL_ORIGIN}e env=ACCESS_CONTROL_ORIGIN
</IfModule>
</IfModule>

只要将块顶部的ACCESS_CONTROL_ROOT变量设置为您的根域，它将在Access-Control-Allow-Origin: response头值中将Origin: request头值回显给客户端，如果它与您的域匹配。

还请注意，您可以使用sub.mydomain.example作为ACCESS_CONTROL_ROOT，它将限制源为sub.mydomain.example和*.sub.mydomain。示例(即它不必是域根)。可以通过修改正则表达式的URI匹配部分来控制允许变化的元素(协议、端口)。

对于Spring，你应该使用allowedOriginPatterns，它完全是你想要的

setAllowedOrigins(java.util.List<java.lang.String>)的替代方案，除了端口列表外，还支持在主机名中的任何位置使用“*”的更灵活的起源模式。例子:

https://*.domain1.com -- domains ending with domain1.com
https://*.domain1.com:[8080,8081] -- domains ending with domain1.com on port 8080 or port 8081
https://*.domain1.com:[*] -- domains ending with domain1.com on any port, including the default port 

与只支持""而不能与allowCredentials一起使用的allowedOrigins相反，当一个allowedOriginPattern被匹配时，Access-Control-Allow-Origin响应头被设置为匹配的原点，而不是""或模式。因此，allowedOriginPatterns可以与setAllowCredentials(java.lang.Boolean)设置为true结合使用。

例如:

@Bean
public WebMvcConfigurer corsConfigurer() {
    return new WebMvcConfigurer() {
        @Override
        public void addCorsMappings(CorsRegistry registry) {
            List<String> allowedOrigins = List.of("https://*.example.com", "http://*.example2.com[80,8080]");
            registry.addMapping("/**").allowedOriginPatterns(allowedOrigins.toArray(new String[0]));

        }
    };
}

根据daverrandom的回答，我也在玩，找到了一个稍微简单一点的Apache解决方案，它产生了相同的结果(Access-Control-Allow-Origin被动态地设置为当前特定的协议+域+端口)，而不使用任何重写规则:

SetEnvIf Origin ^(https?://.+\.mywebsite\.example(?::\d{1,5})?)$   CORS_ALLOW_ORIGIN=$1
Header append Access-Control-Allow-Origin  %{CORS_ALLOW_ORIGIN}e   env=CORS_ALLOW_ORIGIN
Header merge  Vary "Origin"

就是这样。

那些想要在父域(例如mywebsite.example)以及所有子域上启用CORS的人可以简单地将第一行中的正则表达式替换为:

^ (https ?://(?:.+\.)? mywebsite \ .example (?:: \ d{1, 5}) ?)美元。

注意:为了符合规范和正确的缓存行为，ALWAYS为启用cors的资源添加Vary: Origin响应头，即使对于非cors请求和来自不允许的源的请求也是如此(参见示例原因)。